Об отдельных аспектах стандартизации и условий функционирования автоматизированных систем

Цель. Рассмотрены основные аспекты условий функционирования АС, а также вопросы стандартизации стадий жизненного цикла АС (создания, ввода в эксплуатацию, сопровождения и пр.) на государственном уровне. В данной предметной области рассматриваются технологические особенности построения АС на базе различных технических архитектур, так как в настоящее время применимы как зарубежные процессоры на базе архитектур x86-64, так и процессоры отечественной разработки на основе архитектуры ARM (Advanced RISC Machine). Применение различных компонент АС требует дополнительной проработки вопросов с точки зрения упорядочивания состава и конфигурации конкретных СЗИ. Многоуровневая архитектура процессора объективно усложняет возможности для полного тестирования безопасности и обнаружения всех уязвимостей. Метод. Аналитически обобщена информация об основных государственных стандартах, применяемых для обеспечения защиты информации в АС в настоящее время. Результат. Рассмотрены основные особенности условий функционирования АС и определено, что уязвимости компонент обусловлены несовершенством процедур разработки и покрытия тестирования технических и программных средств. Определено, что для осуществления защиты информации в АС необходимо построение многоуровневой системы защиты с государственной аккредитацией. Вывод. Представлены предложения для области применения государственной стандартизации для защиты информации в АС с учетом текущего и перспективного ландшафта угроз, в том числе с учетом конструктивных особенностей (недекларированных возможностей) компонент. Преодоление угроз возможно при создании многоуровневой системы защиты информации с государственной аккредитацией.

1. Об утверждении Наставления по технической эксплуатации средств связи и автоматизации территориальных органов МВД РФ: приказ МВД России от 30.11.2016 № 772. Информационно-правовой портал системы КонсультантПлюс. Режим доступа: http://base.consultant.ru (16.01.2023).

2. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18.02.2013 № 21 // Информационно-правовой портал системы КонсультантПлюс. – Режим доступа: http://base.consultant.ru (дата обращения: 16.01.2023).

3. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11.02.2013 № 17//Информационно-правовой портал системы КонсультантПлюс. – Режим доступа: http://base.consultant.ru (дата обращения: 16.01.2023).

4. ФСТЭК России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

5. ГОСТ Р 15408–2013. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. М.: Стандартинформ. 2014. 152 c.

6. ГОСТ Р 53114–2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. 2008. 22с.

7. Руководящий документ. Безопасность информационных технологий. Концепция оценки соответствия автоматизированных систем требованиям безопасности информации: ФСТЭК России, 2004 г.

8. Руководящий документ Гостехкомиссии. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: утв. пр.м Гостехкомиссии от 19.06.2002 №187.

9. Методика определения угроз безопасности информации в информационных системах: утв. ФСТЭК России. Методика оценки угроз безопасности информации: Методический документ ФСТЭК России от 05.02.2021. Информационно-правовой портал системы КонсультантПлюс. – Режим доступа: http://base.consultant.ru (дата обращения: 16.01.2023).

10. Банк данных угроз безопасности информации: [Электронный ресурс]. ФСТЭК России. URL: https://bdu.fstec.ru/. (Дата обращения: 16.01.2023).

11. ФСТЭК России. Руководящий документ. Защита от несанкционированного доступа к информации-Термины и определения. 2015 г.

12. National Vulnerability Database (NVD) CVE-2022-38392: [Электронный ресурс] URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38392. (Дата обращения: 16.01.2023)

13. Лившиц И.И. Метод оценивания безопасности облачных ИТ-компонент по критериям существующих стандартов // Труды СПИИРАН. 2020. Т. 19. № 2. С. 383-411.

14. Лившиц И.И., Неклюдов А.В. Суверенные информационные технологии России // Стандарты и качество. 2018. № 4. С. 68-72.

15. Лившиц И.И., Неклюдов А.В. Суверенные информационные технологии России // Стандарты и качество. 2018. № 5. С. 66-70.

16. ГОСТ Р 50922–2006. Защита информации. Основные термины и определения // М.: Федеральное агентство по техническому регулированию и метрологии. 2006. 12 c.

17. ГОСТ Р 56546–2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. 2016. 8с.

18. Коцыняк М.А., Кулешов И.А., Кудрявцев А.М., Лаута О.С. Киберустойчивость ИТКС. СПб, 2015 г.

19. Каталог национальных стандартов Росстандарт: [Электронный ресурс]. М., 2022. URL: https://www.rst.gov.ru/portal/gost/home/standarts/catalognational. (Дата обращения: 16.01.2023).

20. International Organization for Standardization. [Электронный ресурс]. URL: https://www.iso.org/ru/standards-catalogue/browse-by-ics.html. (Дата обращения: 16.01.2023).